臭名昭著的Carbanak犯罪團(tuán)伙正轉(zhuǎn)變攻擊方向，集中火力瞄準(zhǔn)酒店和餐飲行業(yè)。

2015年曾發(fā)生過一系列的針對金融機(jī)構(gòu)的網(wǎng)絡(luò)惡意攻擊活動，但其中沒有一件比Carbanak犯罪團(tuán)伙的活動來得更為大膽創(chuàng)新。該犯罪團(tuán)伙瞄準(zhǔn)了超過30個國家的100多家銀行及其他金融機(jī)構(gòu)，竊取的金額或可能高達(dá)10億美元。但目前這一臭名昭著的犯罪團(tuán)伙轉(zhuǎn)變了攻擊策略，開始集中火力攻擊酒店和餐飲行業(yè)。

Trustwave公司報(bào)告稱：

Trustwave公司的網(wǎng)絡(luò)安全專家提到，從上周起，Carbanak團(tuán)伙開始采用新的技術(shù)和惡意軟件實(shí)施攻擊。他們對服務(wù)業(yè)人士發(fā)起魚叉式釣魚網(wǎng)絡(luò)攻擊，誘導(dǎo)受害者閱讀含有惡意宏文件的釣魚郵件。

Trustwave安全公司觀察到，攻擊者會通過電話告訴客戶，其在線服務(wù)出現(xiàn)了問題，然后說會就有關(guān)問題發(fā)送電子郵件。客戶打開郵件里的附件之前，黑客會一直在線，當(dāng)受害者打開惡意信息后黑客會立馬掛掉電話。

對Carbanak的分析報(bào)告指出：

首先，在第一階段的攻擊中黑客會下載一款惡意軟件作為偵查工具，它可以下載主流的黑客工具，包括：Nmap, FreeRDP, NCat和NPing。

隨后，還會下載額外的有效載荷進(jìn)行下一階段的攻擊。

攻擊者最終的目標(biāo)是從受感染設(shè)備內(nèi)存中挖掘敏感信息和信用卡數(shù)據(jù)等，被感染的設(shè)備上會有重新編譯過的Carbanak惡意軟件，這個惡意軟件難以被檢測出來，并且它會從PST文件中竊取信用卡信息、屏幕快照、鍵盤記錄器信息、郵箱地址，授權(quán)RDP、VNC進(jìn)程，或者獲取其他系統(tǒng)信息。

為了獲取受害者設(shè)備的全部控制權(quán)，這個惡意軟件會在設(shè)備上建立后門。通過443端口上的一個加密通道和如下所列的IP地址進(jìn)行通信：

所有竊取信息均采用base64+RC2加密，并通過HTTP POST發(fā)送消息。

新一輪的攻擊大約開始于6個星期前，Trustwave公司已經(jīng)發(fā)布了一系列新的“攻擊指標(biāo)(indicators of compromise)”，能夠幫助管理人員和安全專家發(fā)現(xiàn)威脅。

Trustwave報(bào)告的結(jié)論稱：

事實(shí)上，像Carbanak團(tuán)伙這樣改變攻擊目標(biāo)開始針對餐飲服務(wù)業(yè)，說明攻擊者們獲利的行業(yè)方向已經(jīng)發(fā)生了明顯的變化。

其實(shí)，這也已經(jīng)不是黑客團(tuán)伙第一次將目標(biāo)瞄準(zhǔn)服務(wù)業(yè)了。2014年11月，Kasperky就發(fā)現(xiàn)了一支自稱“Darkhotel”的黑客組織，通過酒店網(wǎng)絡(luò)系統(tǒng)來攻擊在亞洲出差的企業(yè)高管。Darkhotel活動至少持續(xù)了四年，針對選定企業(yè)的出差高管人員。據(jù)安全專家所言，這些犯罪分子的目標(biāo)是竊取奢侈酒店住戶的敏感數(shù)據(jù)。這些攻擊者展現(xiàn)了極為高超的技能，能夠過濾數(shù)據(jù)并抹去他們的活動痕跡。